Intro

martes, 7 de septiembre de 2010

COBIT

Definición
Con base en los requerimientos más amplios de calidad, fiduciarios y de seguridad, se definieron los siguientes siete criterios de información:

  • Es una herramienta de gobierno de las Tecnologías de la Información.
  • Se aplica a los sistemas de información de toda la empresa, incluyendo las computadoras personales, minicomputadoras y ambientes distribuidos.
  • Brindan buenas prácticas a través de un marco de trabajo de dominios y procesos.
Misión del COBIT
La misión de COBIT es "investigar, desarrollar, publicar y promocionar un conjunto de objetivos de control generalmente aceptados para las tecnologías de la información que sean autorizados (dados por alguien con autoridad), actualizados, e internacionales para el uso del día a día de los gestores de negocios (también directivos) y auditores." Gestores, auditores, y usuarios se benefician del desarrollo de COBIT porque les ayuda a entender sus Sistemas de Información (o tecnologías de la información) y decidir el nivel de seguridad y control que es necesario para proteger los activos de sus compañías mediante el desarrollo de un modelo de administración de las tecnologías de la información.
Como Satisface el COBIT la Necesidad
El marco de trabajo Cobit se creó con las características principales de ser:
1. Orientado a Negocios.
2. Orientado a Procesos.
3. Basado en Controles.
4. Impulsado por Mediciones.
Publicado por leo_mauri en 17:27 0 comentarios

1. Orientado al Negocio.

Está diseñado para ser utilizado no sólo por proveedores de servicios, usuarios y auditores de TI, sino también y principalmente, como guía integral para la gerencia y para los dueños de los procesos de negocio.
Criterios de Información de Cobit:
Con base en los requerimientos más amplios de calidad, fiduciarios y de seguridad, se definieron los siguientes siete criterios de información:
  • La efectividad
  • La eficiencia
  • La confidencialidad
  • La integridad
  • La disponibilidad
  • El cumplimiento
  • La confiabilidad
Los recursos de TI identificados en COBIT se pueden definir como sigue:
  • Las aplicaciones incluyen tanto sistemas de usuario automatizados como procedimientos manuales que procesan información.
  • La información son los datos en todas sus formas, de entrada, procesados y generados por los sistemas de información, en cualquier forma en que sean utilizados por el negocio.
  • La infraestructura es la tecnología y las instalaciones (hardware, sistemas operativos, sistemas de administración de base de datos, redes, multimedia, etc., así como el sitio donde se encuentran y el ambiente que los soporta) que permiten el procesamiento de las aplicaciones.
  • Las personas son el personal requerido para planear, organizar, adquirir, implementar, entregar, soportar, monitorear
Principio Básico de COBIT
Publicado por leo_mauri en 17:24 0 comentarios

2. Orientado a Procesos.

COBIT define las actividades de TI en un modelo genérico de procesos organizado en cuatro dominios.
  • Planear y Organizar (PO).
  • Adquirir e Implementar (AI).
  • Entregar y Dar Soporte (DS).
  • Monitorear y Evaluar (ME).
Planear y Organizar (PO)
Este dominio cubre las estrategias y las tácticas, y tiene que ver con identificar la manera en que TI puede contribuir de la mejor manera al logro de los objetivos del negocio.

Dominio – Planear y Organizar
• PO1 Definir un plan estratégico de TI.
• PO2 Definir la arquitectura de la información.
• PO3 Determinar la dirección tecnológica.
• PO4 Definir la organización de TI y sus relaciones.
• PO5 Administrar las inversiones en TI.
• PO6 Comunicar la dirección y aspiraciones de la gerencia.
• PO7 Administrar los recursos humanos.
• PO8 Asegurar el cumplimiento de requerimientos.
• PO9 Evaluar Riesgos.
• PO10 Administrar Proyectos.
• PO11 Administrar Calidad.
Adquirir e Implementar (AI)
Para llevar a cabo la estrategia de TI, las soluciones de TI necesitan ser identificadas, desarrolladas o adquiridas así como implementadas e integradas en los procesos del negocio.

Dominio – Adquirir e Implementar
• AI1 Identificar soluciones.
• AI2 Adquirir y mantener software de aplicación.
• AI3 Adquirir y mantener infraestructura tecnológica.
• AI4 Desarrollar y mantener procedimientos de TI.
• AI5 Instalar y acreditar sistemas.
• AI6 Administrar cambios.
Entregar y dar Soporte (DS)
Este dominio cubre la entrega en sí de los servicios requeridos, lo que incluye la prestación del servicio, la administración de la seguridad y de la continuidad, el soporte del servicio a los usuarios, la administración de los datos y de las instalaciones operativos.

Dominio – Entregar y Dar Soporte
• DS1 Definir niveles de servicio.
• DS2 Administrar servicios prestados por terceros.
• DS3 Administrar desempeño y capacidad.
• DS4 Asegurar el servicio continuo.
• DS5 Asegurar la seguridad de los sistemas.
• DS6 Identificar y asignar costos.
• DS7 Educar y entrenar a los usuarios.
• DS8 Apoyar y asesorar a los usuarios.
• DS9 Administrar la configuración.
• DS10 Administrar problemas e incidentes.
• DS11 Administrar los datos.
• DS12 Administrar las instalaciones.
Monitorear y Evaluar (ME))
Todos los procesos de TI deben evaluarse de forma regular en el tiempo en cuanto a su calidad y cumplimiento de los requerimientos de control. Este dominio abarca la administración del desempeño, el monitoreo del control interno, el cumplimiento regulatorio y la aplicación del gobierno.

Dominio – Monitorear y Evaluar
• M1 Monitorear el proceso.
• M2 Evaluar lo adecuado del control Interno.
• M3 Obtener aseguramiento independiente.
• M4 Proporcionar auditoría independiente.
Publicado por leo_mauri en 15:56 0 comentarios

lunes, 6 de septiembre de 2010

3. Basados en Controles.

Los Procesos requieren Controles
Control se define como las políticas, procedimientos, prácticas y estructuras organizacionales diseñadas para brindar una seguridad razonable que los objetivos de negocio se alcanzarán, y los eventos no deseados serán prevenidos o detectados y corregidos.
Modelo de Control
Cada proceso COBIT tiene requerimientos de control genéricos que se identifican con PCn, que significa Control de Proceso número.
  • PC1 Metas y Objetivos del Proceso.
  • PC2 Propiedad del Proceso
  • PC3 Proceso Repetible
  • PC4 Roles y Responsabilidades
  • PC5 Políticas, Planes y Procedimientos
  • PC6 Desempeño del Proceso
Controles Generales de TI y Controles de Aplicación
  • Desarrollo de sistemas.
  • Administración de cambios.
  • Seguridad.
  • Operaciones de computo.
Los controles incluidos en las aplicaciones de los procesos del negocio se conocen como controles de aplicación.
Ejemplos:
  • Integridad (Completitud).
  • Precisión.
  • Validez.
  • Autorización.
  • Segregación de funciones.
Publicado por leo_mauri en 19:02 0 comentarios

4. Impulsado por Mediciones.

Una necesidad básica de toda empresa es entender el estado de sus propios sistemas de TI y decidir qué nivel de administración y control debe proporcionar. Para decidir el nivel correcto, la gerencia debe preguntarse:
¿Hasta dónde debemos ir?
¿Está el costo justificado por el beneficio?
Las empresas deben medir dónde se encuentran y dónde se requieren mejoras, e implementar un juego de herramientas gerenciales para monitorear esta mejora.
COBIT atiende estos temas a través de:
• Modelos de madurez

• Metas y mediciones

• Metas de actividades
Modelos de Madurez
  • Utilizando los modelos de madurez desarrollados para cada uno de los 34 procesos TI de COBIT, la gerencia podrá identificar:
  • El desempeño real de la empresa - Dónde se encuentra la empresa hoy.
  • El estatus actual de la industria - La comparación.
  • El objetivo de mejora de la empresa - Dónde desea estar la empresa.
  • El crecimiento requerido entre “como es” y “como será”.
  • COBIT es un marco de referencia desarrollado para la administración de procesos de TI con un fuerte enfoque en el control. Estas escalas deben ser prácticas en su aplicación y razonablemente fáciles de entender.
Modelo Genérico de Madurez
0 No Existente: No se aplican procesos administrativos en lo absoluto.
1 Inicial: Los procesos son ad-hoc y desorganizados.
2 Repetible: Los procesos siguen un patrón regular.
3 Definido: Los procesos se documentan y se comunican.
4 Administrado: Los procesos se monitorean y se miden.
5 Optimizado: Las buenas prácticas se siguen y se automatizan.
Modelo de Madurez (Cont.)
El modelo de madurez es una forma de medir qué tan bien están desarrollados los procesos administrativos, esto es, qué tan capaces son en realidad.

Las escalas del modelo de madurez ayudarán a los profesionales a explicarle a la gerencia dónde se encuentran los defectos en la administración de procesos de TI y a establecer objetivos donde se requieran.
Medición de Desempeño
Las métricas y las metas se definen en COBIT a tres niveles:
  • Las metas y métricas de TI que definen lo que el negocio espera de TI.
  • Metas y métricas de procesos que definen lo que el proceso de TI debe generar para dar soporte a los objetivos de TI
  • Métricas de desempeño de los procesos.
  • Las metas están definidas de arriba hacia abajo por lo que una meta de negocio determinará varias metas de TI que la soporten. Una meta de TI se logra por un proceso o la interacción de varios procesos.
Publicado por leo_mauri en 18:10 0 comentarios

domingo, 5 de septiembre de 2010

Video acerca del COBIT

Publicado por leo_mauri en 16:38 0 comentarios
Suscribirse a: Entradas (Atom)